Microsoft Defender para punto de conexión (o Microsoft Defender for Endpoints) ha sido actualizado para incorporar soporte de aislamiento de dispositivos que funcionan con Linux. Esta característica ha llegado en fase previa pública a la solución de seguridad “tanto manualmente a través del portal de Microsoft 365 Defender como mediante las API”.
A estas alturas ya no sorprende ver a Microsoft implicada en Linux, ya sea para soportar de forma oficial algunos de sus productos o bien contribuyendo directamente, cosa que hace en proyectos tan relevantes como el kernel Linux, Mesa y systemd. Eso sí, los esfuerzos del gigante de Redmond se han centrado hasta ahora en servidores, IoT y WSL, mientras que el soporte directo para el escritorio Linux ha quedado en un segundo plano, con alguna excepción como Visual Studio Code.
Retomando el aislamiento de dispositivos Linux introducido en Microsoft Defender para punto de conexión, la compañía explica que algunos escenarios de ataque pueden requerir que se aísle el dispositivo de la red para evitar que un atacante lo controle y realice acciones como filtraciones de datos y movimientos laterales. La característica se encarga de desconectar el dispositivo comprometido de la red mientras conserva la conectividad con el servicio de Defender para punto de conexión y continúa con su monitorización.
Es importante tener en cuenta que, tras aislar un dispositivo, solo se permiten ciertos procesos y destinos web, así que aquellos dispositivos que se encuentran detrás de un túnel de VPN completo no podrán acceder al servicio en la nube de Microsoft Defender para punto de conexión después de ser aislados. La corporación recomienda usar una VPN de túnel dividido para el tráfico relacionado con la protección basada en la nube de Microsoft Defender para punto de conexión y Microsoft Defender Antivirus. Por otro lado, por ahora la exclusión no está soportada por el aislamiento de dispositivos Linux.
El aislamiento de dispositivos Linux de Microsoft Defender para punto de conexión debería de ser compatible con todos los sistemas mencionados en los requisitos, los cuales son RHEL 6.7 o posterior, RHEL 7.2 o posterior, RHEL 8, RHEL 9, CentOS 6.7 o posterior, CentOS 7.2 o posterior, Ubuntu 16.04 LTS o versión LTS posterior, Debian 9 o posterior, SUSE Linux Enterprise Server 12 o posterior, Oracle Linux 7.2 o posterior, Oracle Linux 8.0, Amazon Linux 2 y Fedora 33 o posterior.
Recordamos que el aislamiento de dispositivos Linux en Microsoft Defender para punto de conexión (o Microsoft Defender for Endpoints) está en fase previa pública, así que por ahora, al menos oficialmente, no es una característica estable.